Вечером 22 октября Правительство США официально заявило, что финансируемая властями российская хакерская группа успешно взломала американские правительственные сети и украла конфиденциальные данные.
Сведения о произошедшем взломе были раскрыты в совместном бюллетене безопасности, который опубликовали Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA).
В представленном документе говорится о том, что взломом занималась хакерская группировка Energetic Bear, которая финансируется российскими властями. Группа также имеет множество других известных в киберпространстве названий: TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala.
Американские власти заявляют, что российские хакеры атаковали десятки федеральных, территориальных, муниципальных сетей США. Причем атаки начались с февраля 2020 г. По информации ФБР, атакам также подвергались предприятия авиационной, аэрокосмической отраслей.
CISA и ФБР заявили, что группировка Energetic Bear «успешно взломала сетевую инфраструктуру и по состоянию на 1 октября 2020 г. извлекла данные как минимум с двух серверов-жертв».
Кибератаки, подробно описанные в опубликованном сообщении CISA и ФБР, являются продолжением инцидентов безопасности, о которых рассказывалось в предыдущем совместном предупреждении CISA и ФБР от 9 октября 2020 г. В предыдущем сообщении описывалось, как хакеры взломали правительственные сети США, объединив уязвимости VPN и ошибки Windows.
Сегодняшнее сообщение приписывает эти кибератаки российской хакерской группе, а также предоставляет дополнительную информацию о тактике действий группы Energetic Bear.
В соответствии с техническим заключением, российские хакеры использовали общеизвестные уязвимости для взлома сетевого оборудования, проникновения во внутренние сети правительственных организация, повышения привилегий и кражи конфиденциальной информации. Среди используемых уязвимостей перечисляются:
- CVE-2019-19781 (шлюзы доступа Citrix);
- CVE-2020-0688 (почтовые серверы Microsoft Exchange);
- CVE 2019-10149 (почтовые агенты Exim);
- CVE-2018-13379 (Fortinet SSL VPN);
- CVE-2020-1472 (уязвимость Zerologon на серверах Windows для доступа и кражи учетных данных Windows Active Directory, необходимых для горизонтального перемещения через скомпрометированные сети).
Украденные учетные данные российские хакеры использовали для перемещения по внутренним сетям жертвы. CISA и ФБР заявили, что в случаях, когда кибератаки становились успешными, киберпреступники пытались украсть важные и конфиденциальные файлы. Учитывая имеющиеся сведения, американские агентства заявили, что российская группировка Energetic Bear смогла извлечь:
- конфиденциальные сетевые конфигурации и пароли;
- стандартные рабочие (операционные) процедуры (СОП), такие как регистрация в многофакторной аутентификации (MFA);
- ИТ-инструкции, такие как запрос сброса пароля;
- информацию о закупках и продавцах;
- бейджи доступа к печати.
ФБР и CISA следующим образом резюмировали своё сообщение: «На данный момент у ФБР и CISA нет сведений, свидетельствующих о том, что российская проправительственная группировка Energetic Bear смогла нарушить работу американской авиационной отрасли, сферы образования, выборов или правительственных операций. Однако Energetic Bear может находиться сейчас в поисках возможностей для совершения будущих нарушений в целях повлиять на политику и действия США, либо делегитимизировать государственные структуры SLTT».
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
